0
讓我說我的網站是脆弱的xss。 然後發生了什麼。XSS成功後的動作
的Javascript nowaday不能獲得該cookie(僅Http被標記爲「真」)
能攻擊做具體的我的網站上的東西呢?
謝謝。
讓我說我的網站是脆弱的xss。 然後發生了什麼。XSS成功後的動作
的Javascript nowaday不能獲得該cookie(僅Http被標記爲「真」)
能攻擊做具體的我的網站上的東西呢?
謝謝。
你是說你的網站容易受到XSS的攻擊,並且它啓用了HttpOnly標誌。
如果受害者的瀏覽器支持HttpOnly標誌,那麼攻擊者無法獲取受害者的cookie,因爲它不能被惡意腳本訪問,但如果受害者的瀏覽器不支持HttpOnly標誌?在這種情況下,瀏覽器會忽略HttpOnly標誌並創建普通的可訪問cookie,因此攻擊者可以獲取cookie。
HttpOnly標誌不會阻止惡意腳本的執行,所以攻擊者可以做更多的事情。例如,關鍵記錄器,將用戶重定向到惡意站點,注入虛假登錄表單等。
所有主流瀏覽器都支持HttpOnly標誌,所以我會說最後一部分是關鍵。 – Erlend
@Erlend是的。我同意 – Anesh